CN105376239A - 一种支持移动终端进行IPSec VPN报文传输方法及装置 - Google Patents
一种支持移动终端进行IPSec VPN报文传输方法及装置 Download PDFInfo
- Publication number
- CN105376239A CN105376239A CN201510832057.2A CN201510832057A CN105376239A CN 105376239 A CN105376239 A CN 105376239A CN 201510832057 A CN201510832057 A CN 201510832057A CN 105376239 A CN105376239 A CN 105376239A
- Authority
- CN
- China
- Prior art keywords
- message
- encryption
- mobile terminal
- data structure
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及加密数据传输领域,尤其是一种支持移动终端的IPSec?VPN加密方法及装置。本发明现有技术存在问题,提供一种加密方法及装置。其支持在移动终端IP地址不可见时的隧道协商,支持通过证书或设备标识对移动终端进行验证。支持在隧道建立后终端IP地址动态变化时隧道自动适应新IP地址,适应移动办公环境需求,满足移动终端的接入需求。本发明通过内置网关的移动终端发起IKE密钥协商请求,加密网关接收移动终端协商请求后,进行数据密钥协商,对协商包明文进行判断处理,将移动终端IP增加进入SA数据结构中,协商完成后生成IP报文加密密钥以及对应的序列号(SPI),移动终端与加密网关建立加密隧道,然后进行数据传输。
Description
技术领域
本发明涉及加密数据传输领域,尤其是一种支持移动终端进行IPSecVPN报文传输方法及装置。
背景技术
IPSeC(IPSeCurtyProtcol,IP安全协议)是一组开放标准集,它们协同地工作来确保对等设备之间的数据机密性、数据完整性以及数据认证。IPSecVPN和其它远程访问解决方案相比有一大优势就是它采用了集中式安全和策略管理部件,从而大大缓解了维护需求。故在帮助远程用户、公司分支机构、商业伙伴及供应商等同公司的内部网建立可信的安全连接方案中得到了广泛应用。
1、IPSecVPN现有方案
IPSecVPN作为加密网关到加密网关之间的数据安全传输协议,目前较成熟的IPSecVPN方案的网络拓扑结构、协商流程、报文入站流程、报文出站流程如下图:
(1)现有方案的网络拓扑结构
如图1所述,加密网关A与加密网关B在此网络中的作用与地位是对等的,他们都保护了若干终端。加密网关A与加密网关B都能通过IP地址访问到对方。
(2)现有IPSecVPN密钥协商流程如图2所示:
现有IPSecVPN协商流程:收到IPSecVPN协商报文件后,根据SPD规则查看报文IP地址是合法,如果合法则进行参数处理,同时记录下Cookie。后续的协商报文经过Cookie和IP地址匹配后进入协商流程。协商成功后生成SA。在移动办公网络中,终端IP地址不固定,因此进入加密网关的协商报文IP地址也不固定,不能只靠IP地址判定协商报文是否合法。
(3)现有IPSecVPN报文入站流程如图3所述:
外网口报文入站之后,先检测是否为ESP包,如果是ESP包并且合法则进入解密流程,解密之后发往内网口。
(4)现有IPSecVPN报文出站流程如图4所述
2、IPSecVPN现有方案不足
随着智能手机的普及和移动应用增多,移动办公需求也日益增加。现有的IPSecVPN方案由于存在不足,无法满足移动办公需求。现有IPSecVPN方案存在以下不足:
(1)在现有的IPSecVPN方案中,隧道的建立过程可以由任意一个加密网关发起,而在移动办公网络中,移动终端的网络地址是动态分配的,只能由移动终端发起隧道建立请求。
(2)在隧道协商过程中,现有IPSec方案先检查发起协商的网关IP地址是否合法,再判定是否接受协商包。而在移动办公网络中,移动终端IP地址不固定,不能通过此方法判别终端是否合法。
(3)当隧道建立成功后,在移动终端的使用过程中,其IP地址会随时发生改变,现有的IPSecVPN方案无法适应隧道一端地址动态改变的情况。
(4)在现有IPSecVPN方案中,按照五元组方式进行规则匹配,在移动办公应用中,终端的IP地址不固定,因此规则中只能确定加密网关的参数,其它参数需要根据终端的IP地址动态更新。
发明内容
本发明所要解决的技术问题是:为了解决移动办公中数据传输过程中的安全问题,并解决现有IPSecVPN方案不足问题,本发明设计了支持移动终端进行IPSecVPN报文传输装置。一套针对移动办公的IPSecVPN解决方案,支持在移动终端IP地址不可见时的隧道协商,支持通过证书或设备标识对移动终端进行验证。支持在隧道建立后终端IP地址动态变化时隧道自动适应新IP地址,适应移动办公环境需求,满足移动终端的接入需求,对现有的IPSecVPN工流程进行了优化和改造。
本发明采用的技术方案如下:
一种支持移动终端进行IPSecVPN报文传输方法包括:
步骤1:内置网关的移动终端发起IKE密钥协商请求,加密网关接收移动终端协商请求后,进行数据密钥协商,对前三个协商包明文进行判断处理,将通过验证的移动终端IP增加进入SA数据结构中,协商完成后生成IP报文加密密钥以及对应的序列号,移动终端与加密网关建立加密隧道;
步骤2:当移动终端发送加密IP报文给加密网关时,加密网关收到加密IP报文,对加密IP报文合法性以及完整性进行检测;当检测通过时,则加密网关进行IP加密报文解密,更新SA数据结构中的移动终端IP地址,然后加密网关将解密后的IP报文发送至内网口;
步骤3:当加密网关需要发送加密IP报文给某一移动终端时,先查找当前移动终端所对应的SA数据结构是否存在,如果SA数据结构不存在,直接丢弃此报文,如果SA数据结构存在,加密网关根据SA数据结构中密钥对IP报文进行加密,再根据SA数据结构中的当前终端IP地址字段,将加密后的报文发送出去,进行加密数据传输。
进一步的,所述步骤3还包括当终端IP地址变化时,能够及时将加密报文发向新的IP地址,具体实现过程是:当加密网关接收到来自移动终端的加密报文后,根据加密报文的序列号(SPI)对IP报文进行解密和验证,验证通过后将IP报文发往内网口,并把当前报文的IP地址记录在对应的SA数据结构中;SA数据结构中始终保留了最新的终端IP地址,加密网关能够及时将加密报文发向新的终端IP地址。
进一步的,所述步骤1具体过程是:
步骤11:移动终端发起IKE密钥协商过程,加密网关在收到移动终端发送的第一个协商包后,不对移动终端的IP地址进行合法性校验;直接检查第一个协商包终端加密参数是否合法;
步骤12:如果加密参数合法,则将移动终端的IP地址与Cookie记录写入SA数据结构;同时加密网关向移动终端回复第二个协商包;
步骤13:当加密网关收到移动终端发往加密网关的第三个协商包时,加密网关检测这个协商包中的终端证书是否合法;若移动终端证书合法,则进入后续协商过程,完成IKE密钥协商,IKE密钥协商完成后生成IP报文加密密钥以及IP报文对应的序列号;否则丢弃第三个协商包,并将此包对应的Cookie一并删除。
进一步的,所述步骤2具体包括:
步骤21:当移动终端发送加密IP报文给加密网关时,加密网关收到加密IP报文,判断加密IP报文是否为ESP包;若是ESP包,则根据加密IP报文的序列号,查对应SA数据结构中的协商密钥与加密网关协商密钥是否一致,则执行步骤22;否则,按照非ESP包处理;
步骤22:若一致,则根据SA数据结构进行加密IP报文的合法性以及完整性检测,并执行步骤23;否则,丢弃该报文;
步骤23:对加密IP报文合法性以及完整性进行检测,若检测通过,则进行加密IP报文解密,将发送此加密IP报文的移动终端IP地址,更新到SA数据结构中的当前终端IP地址字段,更新SA数据结构中的移动终端IP地址,然后将解密后的IP报文发送至内网口;否则,丢弃该加密IP报文。
进一步的,所述步骤3中具体实现过程是:
步骤31:当加密网关需要发送的IP报文给某一移动终端时,移动终端中的内置网关进行SPD查询;若该IP报文是需要经过加密时,则进行步骤32;否则,丢弃该IP报文;
步骤32:所述加密网关检查该加密IP报文的SA数据结构是否存在,若存在,则执行步骤33;否则,丢弃该IP报文;
步骤33:对该IP报文进行加密,然后根据SA数据结构中该移动终端地址,为该IP报文添加新IP头,然后将加密后的IP报文发向外网口。
一种支持移动终端进行IPSecVPN报文传输装置包括:
内置网关的移动终端,发起IKE密钥协商请求,加密网关接收移动终端协商请求后,进行数据密钥协商,对前三个协商包明文进行判断处理,将通过验证的移动终端IP增加进入SA数据结构中,协商完成后生成IP报文加密密钥以及对应的序列号,移动终端与加密网关建立加密隧道;
当移动终端发送加密IP报文给加密网关时,加密网关收到加密IP报文,对加密IP报文合法性以及完整性进行检测;当检测通过时,则加密网关进行IP加密报文解密,更新SA数据结构中的移动终端IP地址,然后加密网关将解密后的IP报文发送至内网口;
加密网关,用于发送加密IP报文给某一移动终端时,先查找当前移动终端所对应的SA数据结构是否存在,如果SA数据结构不存在,直接丢弃此报文,如果SA数据结构存在,加密网关根据SA数据结构中密钥对IP报文进行加密,再根据SA数据结构中的当前终端IP地址字段,将加密后的报文发送出去,进行加密数据传输。
进一步的,所述当加密网关需要发送加密IP报文给某一移动终端时,移动终端中的内置网关根据SA数据结构中的当前终端IP地址字段,将加密后的报文发送出去,进行加密数据传输后,还包括当终端IP地址变化时,能够及时将加密报文发向新的IP地址,具体实现过程是:当加密网关接收到来自移动终端的加密报文后,根据加密报文的序列号(SPI)对IP报文进行解密和验证,验证通过后将IP报文发往内网口,并把当前报文的IP地址记录在对应的SA数据结构中;SA数据结构中始终保留了最新的终端IP地址,加密网关能够及时将加密报文发向新的终端IP地址。
进一步的,所述内置网关的移动终端发起IKE密钥协商请求,加密网关接收移动终端协商请求后,进行数据密钥协商,对前三个协商包明文进行判断处理,将通过验证的移动终端IP增加进入SA数据结构中,协商完成后生成IP报文加密密钥以及对应的序列号,移动终端与加密网关建立加密隧道具体实现过程是:
步骤11:移动终端发起IKE密钥协商过程,加密网关在收到移动终端发送的第一个协商包后,不对移动终端的IP地址进行合法性校验;直接检查第一个协商包终端加密参数是否合法;
步骤12:如果加密参数合法,则将移动终端的IP地址与Cookie记录写入SA数据结构;同时加密网关向移动终端回复第二个协商包;
步骤13:当加密网关收到移动终端发往加密网关的第三个协商包时,加密网关检测这个协商包中的终端证书是否合法;若移动终端证书合法,则进入后续协商过程,完成IKE密钥协商,IKE密钥协商完成后生成IP报文加密密钥以及IP报文对应的序列号;否则丢弃第三个协商包,并将此包对应的Cookie一并删除。
进一步的,所述加密网关,用于当移动终端发送加密IP报文给加密网关时,先查找当前移动终端所对应的SA数据结构是否存在,如果SA数据结构不存在,直接丢弃此报文,如果SA数据结构存在,加密网关根据SA数据结构中密钥对IP报文进行加密,再根据SA数据结构中的当前终端IP地址字段,将加密后的报文发送出去,进行加密数据传输具体步骤包括:
步骤21:当移动终端发送加密IP报文给加密网关时,加密网关收到加密IP报文,判断加密IP报文是否为ESP包;若是ESP包,则根据加密IP报文的序列号,查对应SA数据结构中的协商密钥与加密网关协商密钥是否一致,则执行步骤22;否则,按照非ESP包处理;
步骤22:若一致,则根据SA数据结构进行加密IP报文的合法性以及完整性检测,并执行步骤23;否则,丢弃该报文;
步骤23:对加密IP报文合法性以及完整性进行检测,若检测通过,则进行加密IP报文解密,将发送此加密IP报文的移动终端IP地址,更新到SA数据结构中的当前终端IP地址字段,更新SA数据结构中的移动终端IP地址,然后将解密后的IP报文发送至内网口;否则,丢弃该加密IP报文。
进一步的,所述加密网关,用于发送加密IP报文给某一移动终端时,先查找当前移动终端所对应的SA数据结构是否存在,如果SA数据结构不存在,直接丢弃此报文,如果SA数据结构存在,加密网关根据SA数据结构中密钥对IP报文进行加密,再根据SA数据结构中的当前终端IP地址字段,将加密后的报文发送出去,进行加密数据传输具体步骤包括:
步骤31:当加密网关需要发送的IP报文给某一移动终端时,移动终端中的内置网关进行SPD查询;若该IP报文是需要经过加密时,则进行步骤32;否则,丢弃该IP报文;
步骤32:所述加密网关检查该加密IP报文的SA数据结构是否存在,若存在,则执行步骤33;否则,丢弃该IP报文;
步骤33:对该IP报文进行加密,然后根据SA数据结构中该移动终端地址,为该IP报文添加新IP头,然后将加密后的IP报文发向外网口。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
(1)规则匹配改进
报文入站时,先匹配SPI,SPI通过之后再匹配加密网关IP地址和端口,不对终端IP地址和端口进行匹配。
报文出站时,根据规则查找SA,规则只匹配加密网关地址和端口,不对终端IP地址和端口进行匹配。在报文出站时,根据最新的终端IP地址添加IP头。
(2)规则设置改进
在隧道规则中只设置中心端相关地址参数,不对终端地址参数进行设定。在协商过程中,通过终端证书来确认终端的合法性。
(3)IP地址更新方法
由于移动终端IP地址在使用过程中会动态变化,为了保证加密网关能将数据及时发往终端,终端需要定时向加密网关上报其IP地址。这里通过一个定时发送心跳数据包来完成IP地址更新。当加密网关收一个心跳包后,先验证其合法性,验证通过后更新其对应SA中的当前终端IP地址字段。这样后续有报文需要出站时,使用这个最新的IP地址。
(4)随着网络办公需求的日益增多,网络数据的传输安全越来越为人们所重视。为了解决网络数据在传输过程中的安全问题,提出了一种基于IP层的数据加密技术,即IPSecVPN技术。IPSecVPN通过在加密网关之间建立加密隧道,保护工作在加密网关之后设备的通讯数据安全。为了建立起加密隧道,两个网关之间需要能够“看到”对方的IP地址。同时根据加密网关和被保护设备的IP地址,设置加密规则。在移动办公网络环境中,网络拓扑结构变成了加密网关对移动终端。移动终端通过运营商网络接入,其IP地址动态变化,移动终端在上报自己的地址之前,加密网关不能“看见”移动终端。目前的IPSecVPN通过源目IP地址来确定是否需要为网络数据协商隧道。而在移动办公环境中,移动终端的IP地址不固定,无法通过源目IP地址来选择策略。在隧道建立之后,移动终端会因为其所在的网络环境变化而改变IP地址。原有的IPSecVPN需要根据源目IP地址对隧道规则进行匹配,不能适应移动终端IP地址动态变化的情形。为了解决使用过程中IP地址动态变化这种问题,提出了一种MobileIP协议。通过一个IP地址服务器,将动态的IP地址转化成为固定的IP地址再发往目标服务器。这种解决方案需要增加一个服务器来进行IP地址转换,增加成本的同时也增加网络数据包在传输过程中的处理环节。原有的IPSecVPN协议不能很好的适应移动办公这种网络结构下的数据加密任务。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1现有IPSecVPN网络拓扑结构。
图2是现有IPSecVPN协商流程
图3是现有IPSecVPN报文入站流程。
图4是现有IPSecVPN报文出站流程。
图5是移动办公IPSecVPN网络拓扑结构
图6是图6IPSecVPN协商过程改进部分流程。
图7是改进后的IPSecVPN报文入站流程。
图8改进后的IPSecVPN报文出站流程。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
本专利相关说明:
1、内网口指的是明文IP报文接口。加密网关的内网口与内部应用服务器连接,移动终端内置加密网关的内网口与移动终端连接。外网口指的是连接外部网络的接口,密文IP报文通过外网口进入加密网关。
(1)加密网关IP报文出站流程
加密网关内网口接收来自应用服务器的明文IP报文,根据规则查找SA,如果SA存在则进行加密,加密后的IP报文通过外网口发往移动终端。
加密网关报文入站流程
加密网关外网口收到来自移动终端的加密IP报文,根据加密IP报文中的序列号找到对应的SA数据结构,通过SA对密文包进行解密,将解密后的明文数据包通过内网口发往应用服务器。
(2)移动终端报文出站流程
移动终端通过内置网关将IP报文发往服务端,移动终端先将IP报文发向内置网关的内网口,内置网关根据规则查找SA,如果找到SA则进行加密处理,如果没有找到SA则开始密钥协商。内置网关将加密后的IP报文通过外网口发向加密网关。
移动终端报文入站流程
移动终端内置网关外网口接收到来自加密网关的加密IP报文,根据IP报文序列号查找SA,如果查找成功,根据查找到的SA对IP报文进行解密处理,解密后的IP报文通过内质网关的内网口发向移动终端。
2、IKE协商包处理过程是:IKE协商采用的UDP报文格式,默认端口是500,在主模式下,一个正常的IKE协商过程需要经过9个协商包的来回,才最终建立起通信双方所需要的IPSecSA,然后双方利用该SA数据结构就可以对报文进行加密和解密。下面结合简单描述一下现有技术中中IKE协商的过程。假设A和B进行通信,A作为发起方,A发送的第一个协商包内容是本地所支持的IKE的策略(即下面所提到的Policy),该policy的内容有加密算法、hash算法、D-H组、认证方式、SA的生存时间等5个元素。这5个元素里面值得注意的是认证方式,目前采用的主要认证方式有预共享和数字证书。在简单的VPN应用中,一般采用预共享方式来认证身份。在本文的配置中也是以预共享为例来说明的。可以配置多个策略,对端只要有一个与其相同,对端就可以采用该policy,并在第二个协商包中将该policy发送回来,表明采用该policy为后续的通信进行保护。第三和第四个协商包是进行D-H交换的D-H公开值,这与具体的配置影响不大。在完成上面四个协商包交换后,利用D-H算法,A和B就可以协商出一个公共的密钥,后续的密钥都是从该秘密衍生出来的。第五和第六个协商包是身份验证过程,前面已经提高后,有两种身份验证方式――预共享和数字证书,在这里,A将其身份信息和一些其他信息发送给B,B接受到后,对A的身份进行验证,同时B将自己的身份信息也发送给A进行验证。采用预共享验证方式的时候,需要配置预共享密钥,标识身份有两种方式,其一是IP地址,其二是主机名(hostname)。在一般的配置中,可以选用IP地址来标识身份。完成前面六个报文交换的过程,就是完成IKE第一阶段的协商过程。如果打开调试信息,会看到IKESAEstablish(IKESA已经建立),也称作主模式已经完成。
具体实现过程:
1、移动办公IPSecVPN网络拓扑
如图5所示,在移动办公应用场景中,每个移动终端都内置一个轻量级的IPSecVPN网关,终端直接与加密网关建立加密隧道,进行安全数据通信。移动终端经过运营商的无线网络与加密网关建立连接,因此其IP地址对于加密网关来说是未知的。在这种情况之下,隧道的协商只能由移动终端发起。
2、密钥协商过程改进
为了适应移动办公的网络拓扑需求,密钥协商过程只由终端发起。加密网关被动接受终端的协商请求。这样在实际使用中,只需要加密网关有一个固定的IP地址即可。
终端发起IKE协商后,加密网关在收到第一个协商包后不对终端IP地址进行合法性校验,直接检查第一个协商包中的加密参数是否合法,如果合法,则将该移动终端的IP地址与Cookie记录入SA数据结构;同时加密网关向移动终端回复第二个协商包。当收到终端发往加密网关的第三个协商包时,检测这个协商包中的终端证书是否合法,如果合法则进入后续与现有技术相同的6个报文的IKE协商过程。如果非法则将其丢弃,并将此包对应的Cookie一并删除。后续IKE协商过程与现有IPSecVPN方案一致。协商过程改进部分流程如图6所示。
3、SA数据结构改进
在现有IPSecVPN方案中,SA数据结构中包含的隧道两端IP地址信息是固定不变的,在配置隧道规则的时候通过配置管理工具进行绑定。在移动办公的网络环境中,移动终端IP地址动态变化,因此在移动办公加密网关的SA数据结构中,增加一个字段来记录当前终端的IP地址。在密钥协商过程中,当加密网关验证终端证书合法后,将当前接收到的终端IP地址写入到SA的当前终端IP地址字段中。
4、报文入站流程改进
由于终端IP地址动态变化,因此在移动办公网络环境中,加密网关收到加密报文后,只对IP报文序列号(SPI)以及报文合法性完整性作检查,不对其IP地址作检查。当报文通过上述检查后,将此报文的IP地址更新到SA数据结构中的当前终端IP地址字段中。下一次报文出站时,使用这个最新的IP地址。改进后报文入站处理流程如图7所述。
与现有方案相比,当报文解密成功后,增加将当前的终端IP地址更新到SA的数据结构中的过程。
5、报文出站流程改进
报文出站时根据SA数据结构中的当前终端IP地址字段将加密后的报文发送出去,这样当终端IP地址变化时,能够及时将数据发向新的IP地址。改进后报文出站处理流程如图8所述:与现有IPSecVPN方案相比,在添加新IP头时,不是从配置中获取新IP地址,而是从SA的数据结构中获取终端的当前IP地址。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (10)
1.一种支持移动终端进行IPSecVPN报文传输方法,其特征在于包括:
步骤1:内置网关的移动终端发起IKE密钥协商请求,加密网关接收移动终端协商请求后,进行数据密钥协商,对前三个协商包明文进行判断处理,将通过验证的移动终端IP增加进入SA数据结构中,协商完成后生成IP报文加密密钥以及对应的序列号,移动终端与加密网关建立加密隧道;
步骤2:当移动终端发送加密IP报文给加密网关时,加密网关收到加密IP报文,对加密IP报文合法性以及完整性进行检测;当检测通过时,则加密网关进行IP加密报文解密,更新SA数据结构中的移动终端IP地址,然后加密网关将解密后的IP报文发送至内网口;
步骤3:当加密网关需要发送加密IP报文给某一移动终端时,先查找当前移动终端所对应的SA数据结构是否存在,如果SA数据结构不存在,直接丢弃此报文,如果SA数据结构存在,加密网关根据SA数据结构中密钥对IP报文进行加密,再根据SA数据结构中的当前终端IP地址字段,将加密后的报文发送出去,进行加密数据传输。
2.根据权利要求1所述的一种支持移动终端进行IPSecVPN报文传输方法,其特征在于所述步骤3还包括当终端IP地址变化时,能够及时将加密报文发向新的IP地址,具体实现过程是:当加密网关接收到来自移动终端的加密报文后,根据加密报文的序列号对IP报文进行解密和验证,验证通过后将IP报文发往内网口,并把当前报文的IP地址记录在对应的SA数据结构中;SA数据结构中始终保留了最新的终端IP地址,加密网关能够及时将加密报文发向新的终端IP地址。
3.根据权利要求1所述的一种支持移动终端进行IPSecVPN报文传输方法,其特征在于所述步骤1具体过程是:
步骤11:移动终端发起IKE密钥协商过程,加密网关在收到移动终端发送的第一个协商包后;直接检查第一个协商包终端加密参数是否合法;
步骤12:如果加密参数合法,则将移动终端的IP地址与Cookie记录写入SA数据结构;同时加密网关向移动终端回复第二个协商包;
步骤13:当加密网关收到移动终端发往加密网关的第三个协商包时,加密网关检测这个协商包中的终端证书是否合法;若移动终端证书合法,则进入后续协商过程,完成IKE密钥协商,IKE密钥协商完成后生成IP报文加密密钥以及IP报文对应的序列号;否则丢弃第三个协商包,并将此包对应的Cookie一并删除。
4.根据权利要求1所述的一种支持移动终端进行IPSecVPN报文传输方法,其特征在于所述步骤2具体包括:
步骤21:当移动终端发送加密IP报文给加密网关时,加密网关收到加密IP报文,判断加密IP报文是否为ESP包;若是ESP包,则根据加密IP报文的序列号,查对应SA数据结构中的协商密钥与加密网关协商密钥是否一致,则执行步骤22;否则,按照非ESP包处理;
步骤22:若一致,则根据SA数据结构进行加密IP报文的合法性以及完整性检测,并执行步骤23;否则,丢弃该报文;
步骤23:对加密IP报文合法性以及完整性进行检测,若检测通过,则进行加密IP报文解密,将发送此加密IP报文的移动终端IP地址,更新到SA数据结构中的当前终端IP地址字段,更新SA数据结构中的移动终端IP地址,然后将解密后的IP报文发送至内网口;否则,丢弃该加密IP报文。
5.根据权利要求1所述的一种支持移动终端进行IPSecVPN报文传输方法,其特征在于所述步骤3中具体实现过程是:
步骤31:当加密网关需要发送的IP报文给某一移动终端时,移动终端中的内置网关进行SPD查询;若该IP报文是需要经过加密时,则进行步骤32;否则,丢弃该IP报文;
步骤32:所述加密网关检查该加密IP报文的SA数据结构是否存在,若存在,则执行步骤33;否则,丢弃该IP报文;
步骤33:对该IP报文进行加密,然后根据SA数据结构中该移动终端地址,为该IP报文添加新IP头,然后将加密后的IP报文发向外网口。
6.一种支持移动终端进行IPSecVPN报文传输装置,其特征在于包括:
内置网关的移动终端,发起IKE密钥协商请求,加密网关接收移动终端协商请求后,进行数据密钥协商,对前三个协商包明文进行判断处理,将通过验证的移动终端IP增加进入SA数据结构中,协商完成后生成IP报文加密密钥以及对应的序列号,移动终端与加密网关建立加密隧道;
当移动终端发送加密IP报文给加密网关时,加密网关收到加密IP报文,对加密IP报文合法性以及完整性进行检测;当检测通过时,则加密网关进行IP加密报文解密,更新SA数据结构中的移动终端IP地址,然后加密网关将解密后的IP报文发送至内网口;
加密网关,用于发送加密IP报文给某一移动终端时,先查找当前移动终端所对应的SA数据结构是否存在,如果SA数据结构不存在,直接丢弃此报文,如果SA数据结构存在,加密网关根据SA数据结构中密钥对IP报文进行加密,再根据SA数据结构中的当前终端IP地址字段,将加密后的报文发送出去,进行加密数据传输。
7.根据权利要求6所述的一种支持移动终端进行IPSecVPN报文传输装置,其特征在于所述当加密网关需要发送加密IP报文给某一移动终端时,移动终端中的内置网关根据SA数据结构中的当前终端IP地址字段,将加密后的报文发送出去,进行加密数据传输后,还包括当终端IP地址变化时,能够及时将加密报文发向新的IP地址,具体实现过程是:当加密网关接收到来自移动终端的加密报文后,根据加密报文的序列号对IP报文进行解密和验证,验证通过后将IP报文发往内网口,并把当前报文的IP地址记录在对应的SA数据结构中;SA数据结构中始终保留了最新的终端IP地址,加密网关能够及时将加密报文发向新的终端IP地址。
8.根据权利要求6所述的一种支持移动终端进行IPSecVPN报文传输装置,其特征在于所述内置网关的移动终端发起IKE密钥协商请求,加密网关接收移动终端协商请求后,进行数据密钥协商,对前三个协商包明文进行判断处理,将通过验证的移动终端IP增加进入SA数据结构中,协商完成后生成IP报文加密密钥以及对应的序列号,移动终端与加密网关建立加密隧道具体实现过程是:
步骤11:移动终端发起IKE密钥协商过程,加密网关在收到移动终端发送的第一个协商包后;直接检查第一个协商包终端加密参数是否合法;
步骤12:如果加密参数合法,则将移动终端的IP地址与Cookie记录写入SA数据结构;同时加密网关向移动终端回复第二个协商包;
步骤13:当加密网关收到移动终端发往加密网关的第三个协商包时,加密网关检测这个协商包中的终端证书是否合法;若移动终端证书合法,则进入后续协商过程,完成IKE密钥协商,IKE密钥协商完成后生成IP报文加密密钥以及IP报文对应的序列号;否则丢弃第三个协商包,并将此包对应的Cookie一并删除。
9.根据权利要求6所述的一种支持移动终端进行IPSecVPN报文传输装置,其特征在于所述加密网关,用于当移动终端发送加密IP报文给加密网关时,先查找当前移动终端所对应的SA数据结构是否存在,如果SA数据结构不存在,直接丢弃此报文,如果SA数据结构存在,加密网关根据SA数据结构中密钥对IP报文进行加密,再根据SA数据结构中的当前终端IP地址字段,将加密后的报文发送出去,进行加密数据传输具体步骤包括:
步骤21:当移动终端发送加密IP报文给加密网关时,加密网关收到加密IP报文,判断加密IP报文是否为ESP包;若是ESP包,则根据加密IP报文的序列号,查对应SA数据结构中的协商密钥与加密网关协商密钥是否一致,则执行步骤22;否则,按照非ESP包处理;
步骤22:若一致,则根据SA数据结构进行加密IP报文的合法性以及完整性检测,并执行步骤23;否则,丢弃该报文;
步骤23:对加密IP报文合法性以及完整性进行检测,若检测通过,则进行加密IP报文解密,将发送此加密IP报文的移动终端IP地址,更新到SA数据结构中的当前终端IP地址字段,更新SA数据结构中的移动终端IP地址,然后将解密后的IP报文发送至内网口;否则,丢弃该加密IP报文。
10.根据权利要求6所述的一种支持移动终端进行IPSecVPN报文传输装置,其特征在于所述加密网关,用于发送加密IP报文给某一移动终端时,先查找当前移动终端所对应的SA数据结构是否存在,如果SA数据结构不存在,直接丢弃此报文,如果SA数据结构存在,加密网关根据SA数据结构中密钥对IP报文进行加密,再根据SA数据结构中的当前终端IP地址字段,将加密后的报文发送出去,进行加密数据传输具体步骤包括:
步骤31:当加密网关需要发送的IP报文给某一移动终端时,移动终端中的内置网关进行SPD查询;若该IP报文是需要经过加密时,则进行步骤32;否则,丢弃该IP报文;
步骤32:所述加密网关检查该加密IP报文的SA数据结构是否存在,若存在,则执行步骤33;否则,丢弃该IP报文;
步骤33:对该IP报文进行加密,然后根据SA数据结构中该移动终端地址,为该IP报文添加新IP头,然后将加密后的IP报文发向外网口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510832057.2A CN105376239B (zh) | 2015-11-25 | 2015-11-25 | 一种支持移动终端进行IPSec VPN报文传输方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510832057.2A CN105376239B (zh) | 2015-11-25 | 2015-11-25 | 一种支持移动终端进行IPSec VPN报文传输方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105376239A true CN105376239A (zh) | 2016-03-02 |
| CN105376239B CN105376239B (zh) | 2019-01-18 |
Family
ID=55378044
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510832057.2A Active CN105376239B (zh) | 2015-11-25 | 2015-11-25 | 一种支持移动终端进行IPSec VPN报文传输方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105376239B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106169952A (zh) * | 2016-09-06 | 2016-11-30 | 杭州迪普科技有限公司 | 一种英特网密钥管理协议重协商的认证方法及装置 |
| CN106209838A (zh) * | 2016-07-08 | 2016-12-07 | 杭州迪普科技有限公司 | Ssl vpn的ip接入方法及装置 |
| CN106850668A (zh) * | 2017-03-03 | 2017-06-13 | 深圳安软信创技术有限公司 | 移动应用安全网络隧道 |
| CN107438246A (zh) * | 2017-08-02 | 2017-12-05 | 上海斐讯数据通信技术有限公司 | 一种无线路由器、无线路由器间加密通讯方法及系统 |
| WO2018161639A1 (zh) * | 2017-03-10 | 2018-09-13 | 华为技术有限公司 | 一种互联网协议安全性隧道的维护方法、装置及系统 |
| CN108551496A (zh) * | 2018-07-26 | 2018-09-18 | 杭州云缔盟科技有限公司 | 一种防止vpn客户端地址与本地地址冲突的解决方法 |
| CN110391902A (zh) * | 2019-07-08 | 2019-10-29 | 新华三信息安全技术有限公司 | 一种互联网密钥交换ike协商的方法及装置 |
| CN110519259A (zh) * | 2019-08-23 | 2019-11-29 | 北京浪潮数据技术有限公司 | 云平台对象间通讯加密配置方法、装置及可读存储介质 |
| CN111800328A (zh) * | 2020-06-22 | 2020-10-20 | 上海益络信息技术有限公司 | 一种vpn报文处理方法 |
| CN112714069A (zh) * | 2021-01-06 | 2021-04-27 | 上海交通大学 | 一种IPSec安全网关环境中将分流模块下放至网卡硬件的方法 |
| CN113746861A (zh) * | 2021-09-13 | 2021-12-03 | 南京首传信安科技有限公司 | 基于国密技术的数据传输加密、解密方法及加解密系统 |
| CN113852595A (zh) * | 2021-07-29 | 2021-12-28 | 四川天翼网络服务有限公司 | 一种嵌入式设备跨网段加密通信方法 |
| WO2024001885A1 (zh) * | 2022-06-29 | 2024-01-04 | 深圳市中兴微电子技术有限公司 | 数据传输方法、电子设备及计算机存储介质 |
-
2015
- 2015-11-25 CN CN201510832057.2A patent/CN105376239B/zh active Active
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209838A (zh) * | 2016-07-08 | 2016-12-07 | 杭州迪普科技有限公司 | Ssl vpn的ip接入方法及装置 |
| CN106169952A (zh) * | 2016-09-06 | 2016-11-30 | 杭州迪普科技有限公司 | 一种英特网密钥管理协议重协商的认证方法及装置 |
| CN106169952B (zh) * | 2016-09-06 | 2019-05-07 | 杭州迪普科技股份有限公司 | 一种英特网密钥管理协议重协商的认证方法及装置 |
| CN106850668A (zh) * | 2017-03-03 | 2017-06-13 | 深圳安软信创技术有限公司 | 移动应用安全网络隧道 |
| CN106850668B (zh) * | 2017-03-03 | 2020-11-17 | 深圳安软信创技术有限公司 | 移动应用安全网络隧道 |
| US11038846B2 (en) * | 2017-03-10 | 2021-06-15 | Huawei Technologies Co., Ltd. | Internet protocol security tunnel maintenance method, apparatus, and system |
| WO2018161639A1 (zh) * | 2017-03-10 | 2018-09-13 | 华为技术有限公司 | 一种互联网协议安全性隧道的维护方法、装置及系统 |
| CN108574589A (zh) * | 2017-03-10 | 2018-09-25 | 华为技术有限公司 | 一种互联网协议安全性隧道的维护方法、装置及系统 |
| CN107438246A (zh) * | 2017-08-02 | 2017-12-05 | 上海斐讯数据通信技术有限公司 | 一种无线路由器、无线路由器间加密通讯方法及系统 |
| CN108551496A (zh) * | 2018-07-26 | 2018-09-18 | 杭州云缔盟科技有限公司 | 一种防止vpn客户端地址与本地地址冲突的解决方法 |
| CN108551496B (zh) * | 2018-07-26 | 2021-03-02 | 杭州云缔盟科技有限公司 | 一种防止vpn客户端地址与本地地址冲突的解决方法 |
| CN110391902A (zh) * | 2019-07-08 | 2019-10-29 | 新华三信息安全技术有限公司 | 一种互联网密钥交换ike协商的方法及装置 |
| CN110519259A (zh) * | 2019-08-23 | 2019-11-29 | 北京浪潮数据技术有限公司 | 云平台对象间通讯加密配置方法、装置及可读存储介质 |
| CN110519259B (zh) * | 2019-08-23 | 2022-02-18 | 北京浪潮数据技术有限公司 | 云平台对象间通讯加密配置方法、装置及可读存储介质 |
| CN111800328A (zh) * | 2020-06-22 | 2020-10-20 | 上海益络信息技术有限公司 | 一种vpn报文处理方法 |
| CN112714069A (zh) * | 2021-01-06 | 2021-04-27 | 上海交通大学 | 一种IPSec安全网关环境中将分流模块下放至网卡硬件的方法 |
| CN113852595A (zh) * | 2021-07-29 | 2021-12-28 | 四川天翼网络服务有限公司 | 一种嵌入式设备跨网段加密通信方法 |
| CN113852595B (zh) * | 2021-07-29 | 2024-02-02 | 四川天翼网络服务有限公司 | 一种嵌入式设备跨网段加密通信方法 |
| CN113746861A (zh) * | 2021-09-13 | 2021-12-03 | 南京首传信安科技有限公司 | 基于国密技术的数据传输加密、解密方法及加解密系统 |
| CN113746861B (zh) * | 2021-09-13 | 2023-03-14 | 南京首传信安科技有限公司 | 基于国密技术的数据传输加密、解密方法及加解密系统 |
| WO2024001885A1 (zh) * | 2022-06-29 | 2024-01-04 | 深圳市中兴微电子技术有限公司 | 数据传输方法、电子设备及计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105376239B (zh) | 2019-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105376239A (zh) | 一种支持移动终端进行IPSec VPN报文传输方法及装置 | |
| CN101160924B (zh) | 在通信系统中分发证书的方法 | |
| EP2341724B1 (en) | System and method for secure transaction of data between wireless communication device and server | |
| CN102215487B (zh) | 通过公共无线网络安全地接入专用网络的方法和系统 | |
| US8838972B2 (en) | Exchange of key material | |
| CN107105060A (zh) | 一种实现电动汽车信息安全的方法 | |
| WO2016114842A1 (en) | End-to-end service layer authentication | |
| CN103155512A (zh) | 用于对服务提供安全访问的系统和方法 | |
| CN105516062B (zh) | 一种实现L2TP over IPsec接入的方法 | |
| CN104219217A (zh) | 安全关联协商方法、设备和系统 | |
| WO2015100974A1 (zh) | 一种终端认证的方法、装置及系统 | |
| CN108353279A (zh) | 一种认证方法和认证系统 | |
| US20140351590A1 (en) | Network device, ipsec system and method for establishing ipsec tunnel using the same | |
| KR20180130203A (ko) | 사물인터넷 디바이스 인증 장치 및 방법 | |
| CN102348210A (zh) | 一种安全性移动办公的方法和移动安全设备 | |
| US20210067956A1 (en) | Methods and apparatus for end-to-end secure communications | |
| CN102970228A (zh) | 一种基于IPsec的报文传输方法和设备 | |
| CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
| WO2012024905A1 (zh) | 一种移动通讯网中数据加解密方法、终端和ggsn | |
| CN110166410B (zh) | 一种安全传输数据的方法、终端及多模通信终端 | |
| CN108882233B (zh) | 一种imsi的加密方法、核心网和用户终端 | |
| CN115835194B (zh) | 一种nb-iot物联网终端安全接入系统及接入方法 | |
| CN113973002A (zh) | 一种数据密钥的更新方法及装置 | |
| JP2009033585A (ja) | 無線lan端末接続方法およびその方法を用いた無線lanシステム | |
| CN110351308B (zh) | 一种虚拟专用网络通信方法和虚拟专用网络设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |